当前位置: 首页 > 图文教程 > 网络安全 > 安全产品 > 防火墙的技术与应用-相关知识(4)

安全产品
网络防火墙与防范溢出策略
企业如何选择合适的防火墙
据说是世界上最优秀的20款防火墙
如何突破各种防火墙的防护
端口碰撞技术让开放端口更安全
Web安全技术与防火墙
软件防火墙
防火墙知识普及
Cisco PIX防火墙配置
防火墙功能指标详解
华为路由器防火墙配置命令
黑客眼中的防火墙与路由器
六大主流防火墙正确设置技巧
让诺顿防火墙与文件共享不再冲突
普通用户选用网络防火墙的方方面面
世界顶级防火墙Look n Stop中文版
网络防火墙的设置技巧
原生防火墙 网络安全防御新趋势
全网布防 用组策略部署Windows防火墙
使用Windows防火墙十大经典问题荟萃

安全产品 中的 防火墙的技术与应用-相关知识(4)


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-29   浏览: 35 ::
收藏到网摘: n/a

防火墙的工作原理(2)

    

  客户机也有TCP/UDP端口

  TCP/IP是一种端对端协议,每个网络节点都具有唯一的地址。网络节点的应用层也是这样,处于应用层的每个应用程序和服务都具有自己的对应“地址”,也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如,telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号,否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢?

  由于历史的原因,几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口,而这些端口还保留为服务器上的服务所用。所以,除非我们让所有具有大于1023端口号的数据包进入网络,否则各种网络连接都没法正常工作。

  这对防火墙而言可就麻烦了,如果阻塞入站的全部端口,那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站(就是进入防火墙的意思)数据包都没法经过防火墙的入站过滤。反过来,打开所有高于1023的端口就可行了吗?也不尽然。由于很多服务使用的端口都大于1023,比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等(NetWare/IP)就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗?连这些客户程序都不敢说自己是足够安全的。


  双向过滤

  OK,咱们换个思路。我们给防火墙这样下命令:已知服务的数据包可以进来,其他的全部挡在防火墙之外。比如,如果你知道用户要访问Web服务器,那就只让具有源端口号80的数据包进入网络:

 

  不过新问题又出现了。首先,你怎么知道你要访问的服务器具有哪些正在运行的端口号呢? 象HTTP这样的服务器本来就是可以任意配置的,所采用的端口也可以随意配置。如果你这样设置防火墙,你就没法访问哪些没采用标准端口号的的网络站点了!反过来,你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具,并让其运行在本机的80端口!